×
Spam, keine Downloads möglich (17 Okt 2020)

Nachdem sich in letzter Zeit Spamregistrierungen häufen, habe ich beschlossen, den ersten Beitrag eines Users nach der Registrierung zu moderieren und manuell freizuschalten. Ich bitte euch also um Verständnis, wenn euer erster Beitrag nicht sofort sichtbar wird.

Die Downloads bleiben nach wie vor gesperrt. Wer eine verlinkte Datei braucht, möge mir eine Mail schreiben.

Ich bitte alle User um Verständnis !

Euer Andi

sticky Wichtig IOS - Grundkonfiguration erläutert am Cisco 837


Mehr
15 Nov 2011 12:41 - 10 Feb 2014 21:15 #35209 von zid
Dieses HOWTO stammt von thomasbrandner, der sich die Mühe gemacht hat, die wichtigsten Schritte einer IOS Grundkonfiguration aufzuzählen und zu erläutern, s.a. die Diskussion mit Thomas in diesem Faden:
www.dieschmids.at/forum/10-alternative-router-mit-aon-tv/34585-cisco-837-an-aon-adsl-dyndns
Herzlichen Dank an Dich, Thomas! :)




Ich brauche keine Passwortverschlüsselung, da der Router sich zuhause befindet und daher sowieso nur ich Zugriff auf das Gerät habe. :-)
no service password-encryption
Mein Router nennte sich lapidar wie folgt
hostname Internetrouter
Das Passwort für den privilegierten Zugriff auf die Konfiguration. Dieses Passswort benötigt man, um Änderungen an der Konfiguration durchführen zu können.
enable password <PPPPPPPPPP>
Mit diesen Benutzerdaten kann man sich am Router anmelden.
username <UUUUUUUUU> password 0 <PPPPPPPPPP>
Wir leben in der Zeitzone GMT +1. Dies teilen wir hier dem Router mit. Die zweite Zeile teilt dem Router mit, wann die Sommerzeit beginnt und wann sie endet.
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
Mein lokales Netzwerk hat die Adresse 192.168.1.0/24. Ich habe dieses Netzwerk folgendermassen aufgeteilt:
Client: 192.168.1.100 - 192.168.1.254
Router: 192.168.1.1 - 192.168.1.9
Server: 192.168.1.20 - 192.168.1.29
Drucker: 192.168.1.30 - 192.168.1.39

Zu Beginn exkludieren wir den Bereich, der für die Clients nicht zur Verfügung stehen soll (192.168.1.1 - 192.168.1.99).
Danach definieren wir den DHCP Pool für das gesamte Netzwerk.
- network: Die Adresse des Netzwerkes
- dns-server: Die DNS Server, die die Clients verwenden sollen. An erster Stelle steht der Router selber, er stellt auch das Service DNS zur Verfügung.
- default-router: Die Adresse des Gateways, der in das Internet rauszeigt. In diesem Fall auch der Router selber.
- domain-name: Der Domain Name der lokalen Domain, um die Namensauflösung der Clients zu ermöglichen.
- option 42: Diese DHCP Option teilt den Clients die Adresse eines NTP Servers mit. Auch hier der Router selber, er ist auch NTP Server für die Clients.
- netbios-node-type: Um die Namensauflösung mittels Netbios zu ermöglichen dient dieser Eintrag. Ich glaube nicht, dass dieser noch relevant ist, er stammt noch aus meiner netzwerklastigen Vergangenheit (best practice).

Dach der Definition des DHCP Pools für das Netzwerk kommen die Adressreservierung für "statisch" vergebene Adressen. Bei mir sind das die Drucker, die über das Netzwerk erreichbar sein sollen. Da ich zu faul bin, die Drucker direkt am Panel zu konfigurieren, habe ich dies mittels Reservierungen gemacht.
Überdies, bei den DHCP Pools gibt es Vererbung. Daher bekommen die Drucker alle Einstellungen aus dem Pool für das Netzwerk - ausser diese, die natürlich gerätespezifisch definiert wurden. Dies vereinfach sehr die Verwaltung, da Einstellungen für die DNS Server, das Default-Gateway, ... nur an einer Stelle getätigt werden. müssen.
- host: Die IP Adresse, die der Drucker fix bekommen soll.
- client-identifier: Das ist die MAC Adresse des Router mit einem vorangestellten "01". Diese "01" ist der Hardwaretyp ("chtype", 01 = Ethernet) und muss angegeben werden.
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool MyNetwork
   network 192.168.1.0 255.255.255.0
   dns-server 192.168.1.1 213.33.98.136 195.3.96.67 
   default-router 192.168.1.1 
   domain-name domain.local
   option 42 ip 192.168.1.1 
   netbios-node-type m-node
!
ip dhcp pool Laser
   host 192.168.1.30 255.255.255.0
   client-identifier 0100.206b.ca4f.98
!
ip dhcp pool Multi1
   host 192.168.1.31 255.255.255.0
   client-identifier 01c0.cb38.29a0.6b
!
ip dhcp pool Multi2
   host 192.168.1.32 255.255.255.0
   client-identifier 0100.1ba9.7c93.14
Jetzt kommen wir zu den DNS Einstellungen. Wie bereits gesagt, die lokale Domain nennt sich "domain.local". Danach sind die statischen DNS Namen der einzelnen Hosts definiert. Interessant vielleicht folgende Einträge:
members.dyndns.org: Da ich mir nicht sicher bin, wann genau die Adresse für den dynDNS Update benötigt wird (vielleicht bereits bei beginn des Updates, also wenn das Dialer Interface noch down ist?), habe ich diese statisch hier eingetragen.
ns.domain.local: Der Router arbeitet auch als DNS Server, daher der ns-Eintrag für diese Domain.
Zum Schluß noch die Adresse der DNS Server, die der Router verwendet, um externe Adressen aufzulösen.
ip domain name domain.local
ip host multi2.domain.local 192.168.1.32
ip host wireless.domain.local 192.168.1.2
ip host storage.domain.local 192.168.1.20
ip host members.dyndns.org 204.13.248.112
ip host multi1.domain.local 192.168.1.31
ip host gateway.domain.local 192.168.1.1
ip host laser.domain.local 192.168.1.30
ip host ns.domain.local 192.168.1.1
ip name-server 195.3.96.67
ip name-server 213.33.98.136
Für den Zugang auf das CLI des Routers habe ich SSH aktiviert - vielleicht ein bißchen paranoid ...
ip ssh time-out 60
ip ssh authentication-retries 2
Jetzt kommt das dynDNS, das mir einige graue Haare gekostet hat. Ich verwende den Dienst von www.dyndns.org. Verwendet wird HTTP als Updateprotokoll. Hierfür muss dem Router eine URL bekanntgegeben werden.
Vorsicht: das "?" kann nicht so einfach in das CLI eingetippt werden, ansonsten wird es als angeforderte Hilfe interpretiert. Ein vorangegangens Ctrl+V löst das Problem (also: zuerst "Ctrl+V" und dann "?")
ip ddns update method MyDynDNS
 HTTP
  add http://<UUUUUUUUU>:<PPPPPPPPPP>@members.dyndns.org/nic/update?system=dyndns&hostname=<HHHHHHH>.dyndns.biz&myip=
 interval maximum 1 0 0 0
FTP brauch ich am Router nicht - weg damit
no ftp-server write-enable
Jetzt kommen wir zu den Interfaces. Ethernet0 ist bridged auf die Anschlüsse FA1 - FA3, der Anschluss FA4 ist mit Ethernet2 verbunden. Dieser Anschluss wird zukünftig für die DMZ verwendet (DMZ: eine eigene Sicherheitszone für Hosts, die auch von "draussen" ereichbar sein müssen). Bei beiden Interfaces wird der einkommende Datenverkehr für die Weiterleitung in das Internet geNATtet (ip nat inside).
interface Ethernet0
 description Local LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out
!
interface Ethernet2
 description DMZ
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out
Das ATM0 Interface verbindet den Router mit der Splitter-Box der Telekom. Ich bin nicht so firm mit ATM-Konfiguraton, daher habe ich diese aus dem Internet abgefragt. Das Einzige das ich beitragen kann, ist der pvc Wert "8/48". Diesen habe ich von der Konfiguration des Routers der Telekom abgeschrieben.
Wichtig ist auch die Verlinkung des ATM0.1 Interfaces mit einem Dialer-Pool. Somit weiß der Router, welche Einwahlfunktion er für die Verbindung verwenden soll.
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 0/16 ilmi
 !
!
interface ATM0.1 point-to-point
 pvc 8/48 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
Die physikalischen Anschlüsse des Routers. Wie bereist beschrieben, sind diese den virtuellen Interfaces Ethernet0 und Ethernet2 zugeordnet.
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
Jetzt wird es wieder spannend - das Dialer Interface, das sich bei der Telekom in das Internet einwählt. Auf die für mich relevanten Einträge möchte ich näher eingehen:
- ip ddns update hostname: Hier kommt anstatt der "<HHHHHH>" natürlich der Hostname rein, den man bei dynDNS registriert hat.
- ip ddns update MyDynDNS host: "MyDnyDNS" verweist auf die Methode, die ich für das Update verwende. Auf "host" folgt der Name des öffentlichen dynDNS Hosts (die ich im DNS Bereich statisch definiert habe).
- ip access-group INBOUND in: Verweist auf eine ACL (Access Control List), die beschreibt, welcher Traffic von "draussen" herein darf.
- ip access-group OUTBOUND out: Und diese ACL berschreibt den erlaubten ausgehenden Traffic (bei mir alles *gg*).
- ip mtu 1492: Die Max. größe eines Datenpaketes. Diese hängt von der verwendeten Technologie des Internetzuganges ab.
- ip nat outside: Der ausgehende Traffic muss geNATtet werden (NAT: Network Address Translation). Hierbei bekommt jedes ausgehende Datenpaket als Absender Adresse die Adresse des Routers. Der Router selber merkt sich die Pakete in einer Liste, damit er die eingehenden Antwortpakete dem jeweiligen Client weiterleiten kann.
- encapsulation ppp: Das Interface verwendet PPP (Point-to-Point Protocol) für die Einwahl in das Internet.
- dialer pool 1: Dieser Interface ist dem Dialer-Pool 1 zugewiesen.
- ppp authentication chap callin: Das Protokoll CHAP wird für die CallIn Authentication verwendet.
- ppp chap hostname: Die Teilnehmerkenung bei der Telekom
- ppp chap password: das Passwort bei der Telekom (die führende Null beschreibt, dass das Passwort unverschlüsselt in der Konfiguration gespeichert wird.
interface Dialer1
 description Internet
 ip ddns update hostname <HHHHHHHH>.dyndns.biz
 ip ddns update MyDynDNS host members.dyndns.org
 ip address negotiated
 ip access-group INBOUND in
 ip access-group OUTBOUND out
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 ip tcp adjust-mss 1452
 dialer pool 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname <UUUUUUUUU>
 ppp chap password 0 <PPPPPPPPP>
Jeder Traffic zu externen netzen wird an das Dialer1 Interface weitergereicht - die Default Route
ip route 0.0.0.0 0.0.0.0 Dialer1
Ich verwende kein HTTP für die Konfiguration der Routers sondern CLI, daher abgeschaltet.
no ip http server
no ip http secure-server
Der Router arbeitet als DNS Server. Daher gibt es auch diesbezüglich ein paar Eintragungen:
ip dns server
ip dns primary domain.local soa ns.domain.local admin.domain.local 21600 900 7776000 86400
Einkommender Datenverkehr muß für das NAT in einer List vorgemerkt werden. Zusätzlich muss dem Router bekannt gemacht werden, auf welche Adresse er NATten soll - in diesem Fall das Dialer1 Interface
ip nat inside source list NAT-NETWORKS interface Dialer1 overload
Nur folgende Netze werden genNATtet. Bei mir das lokale LAN und die DMZ
ip access-list standard NAT-NETWORKS
 permit 192.168.1.0 0.0.0.255
 permit 192.168.0.0 0.0.0.255
Diese ACL wird für den Zugriff auf dasd CLI verwendet. Ich erlaube den SSH Zugang nur aus den internen Netzen.
ip access-list standard VTY-ACCESS
 permit 192.168.1.0 0.0.0.255
 permit 192.168.0.0 0.0.0.255
Was von "draussen" herein darf, beschreibt diese ACL. Auch hier möchte ich auf die einzelnen Einträge näher eingehen:
- evaluate MyNetworks: In der "OUTBOUND"-ACL ist beschrieben, dass ausgehender Datenverkehr in einer Liste intern gespeichert werden soll. Evaluate prüft diese Liste, ob die einkommenden Datenpakte auch tatsächlich Antworten auf die gesendten Anfragen sind (Stateful Inspection).
- permit udp ...... eq domain any: Der Router selber sendet auch DNS Anfragen raus, wird aber nicht geNATtet. Daher würden die Antworten von "evaluate" geblockt werden. Wir wollen aber Antworten erhalten und erlauben hiermit den DNS Servern der Telekom, diese auch zuzustellen können .
- permit udp ...... eq ntp any: Wie DNS, nur für NTP. Auch hier darf nur genau dieser eine Host antworten senden.
- permit tcp ...... eq www any: Wie bei DNS und NTP, nur für die Antworten von dynDNS
- permit icmp ..... any: Dieser host darf den Router pingen (wird alle 10 min durchgeführt - von einem Monitoring System)
ip access-list extended INBOUND
 evaluate MyNetworks 
 permit udp host 195.3.96.67 eq domain any
 permit udp host 213.33.98.136 eq domain any
 permit udp host 80.83.126.67 eq ntp any
 permit tcp host 204.13.248.112 eq www any
 permit icmp host 1.2.3.4 any
In dieser ACL wird jedem Traffic erlaubt, hinauszugehen. Dieser Traffic wird für das "evaluate" in der "INBOUND"-ACL protokolliert.
ip access-list extended OUTBOUND
 permit ip any any reflect MyNetworks
Das leidige Problem mit der Aktualisierung des dynDNS Eintrages habe ich mit einem geplanten Job (jeden Tag 3:00) "gelöst". Meine Lease bei der Telekom läuft 24 Stunden, somit sollte nach erfolgtem Reset des Interfaces die Adresse für den ganzen Tag gültig sein (Sofern die Telekom nicht tagsüber herumbastelt). Der erste Teil dieser Konfiguration beschreibt die Zeitplanung, der zweite Teil das Script, das ablaufen soll (hier: cli clear interface ...) - habe ich schon geschrieben, dass ich allein für diese Möglichkeit meinen Cisco Router liebe? *ggg*
kron occurrence DailyReset at 3:00 recurring
 policy-list ResetDialer
!
kron policy-list ResetDialer
 cli clear interface Dialer 1
Wie bereits bei den ACL's oben beschrieben, kann ich meinen Router nur über das lokale Netz administrieren. Hierfür muss die line vty angepasst werden. Auch ist nur SSH erlaubt.
line vty 0 4
 access-class VTY-ACCESS in
 login local
 transport preferred none
 transport input ssh
 transport output none
Last but not least, der Router verwendet NTP, sowohl als Client für sich selber (ntp server ...), als auch als Server für die Netzwerkclients (ntp master)
ntp clock-period 17180193
ntp master
ntp server 80.83.126.67
end
Das ist so meine Konfiguration, die ich mit anderen natürlich teilen möchte. falls jemand die komplette Konfiguration haben will - sie ist im Angang enthalten.

Viel Spaß und keine Angst mehr vor Cisco :-)
Thomas



Einige kleine Anmerkungen (zid):

- Thomas verwendet PPPoA.
Falls man z.b. einen entbündelten Anschluß vorliegen hat, der über PPPoE rennt, dann muß man nur die Konfiguration des ATM-Subinterfaces ATM0.1 ändern, der Rest bleibt gleich.
Hier als Beispiel für einen entbündelten Anschluß von Tele2/Inode-alt (PPPoE @ 8.35):
interface ATM0.1 point-to-point
 pvc 8/35 
  encapsulation aal5snap
  pppoe-client dial-pool-member 1
Wenn man nur einen Channel laufen hat, braucht man nicht unbedingt ein Subinterface.

- Reflexive ACL's (RACL's):
Thomas verwendet eine reflexive ACL ("MyNetworks"). Das ist eine von mehreren Möglichkeiten unter IOS eine Firewall aufzuziehen. Mit dem Befehl "reflect MyNetworks" wird dynamisch eine ACL namens "MyNetworks" durch den outbound Traffic generiert, eben die "reflexive" ACL, mit den Verbindungsparametern der rausgehenden Verbindungen belegt und reinkommende Pakete durchlaufen diese RACL wegen "evaluate MyNetworks". Wenn eine Verbindung eine gewisse Zeit "idle" ist, werden die dazugehörenden Verbindungsparameter in der RACL wieder gelöscht, um so das ganze System schlank zu halten. Der globale idle Timeout für RACL's beträgt im default 300 s, was für meine Begriffe zumindest für UDP und ICMP etwas hoch ist. Man kann diesen Timeout global ändern mit:
(config)#ip reflexive-list timeout <neuer-timeout-in-sekunden>
Vorteilhafter ist es jedoch, wenn man den Traffic differenziert und mehrere RACL's aufzieht, ist nur ein Einmalaufwand: ;)
(config)#ip access-list extended OUTBOUND
(config-ext-nacl)#permit udp any any reflect MyNetworks_udp timeout 60
(config-ext-nacl)#permit icmp any any reflect MyNetworks_icmp timeout 10
(config-ext-nacl)#permit ip any any reflect MyNetworks
...
...
(config)#ip access-list extended INBOUND
(config-ext-nacl)#evaluate MyNetworks_udp
(config-ext-nacl)#evaluate MyNetworks_icmp
(config-ext-nacl)#evaluate MyNetworks
...
...

Dieser Beitrag enthält einen Anhang.
Bitte anmelden (oder registrieren) um ihn zu sehen.

Letzte Änderung: 10 Feb 2014 21:15 von andi.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.127 Sekunden
Powered by Kunena Forum